Foranstaltning:

Håndtering af midlertidige brugerkonti


Senest opdateret 7.11.23.

Hvilke risici adresseres?

Flere adgange giver en større "angrebsflade" for ondsindede aktører – de har så at sige flere legoklodser til at opbygge deres angreb med. Adgange, som ikke længere er nødvendige, udgør dermed en unødvendig risiko, og skal derfor lukkes. Forhåndsviden om, hvornår en adgang ikke længere er nødvendig, kan anvendes til at sikre hurtig lukning af adgangen. Der er altså tale om en forebyggende foranstaltning, som kan mindske sandsynligheden for, at en adgang misbruges af en anden en den tiltænkte (autoriserede) bruger.

Hvilke tiltag kan overvejes?

Hvis muligheden findes, vil der allerede ved etableringen af en adgang blive sat en udløbsdato på adgangsrettigheden. Det kan evt. styres centralt via data fra et HR-system med opdateret information om fratrædelsestidspunkter. Udløbsdato kan være relevant fx ved ansættelse af eksterne konsulenter knyttet til et projekt med en klar tidshorisont. Alternativt kan det foregå manuelt med påmindelser i en kalenderfunktion.

Udløbsdato-foranstaltning kan også hjælpe på den ophobning af opgaver vedr. ansættelse og fratrædelse, som kan ske ved månedsskifte eller blot en tilfældig ophobning af opgaver, som gør, at der ikke er tid til at lukke alle adgange præcist, når en ansættelse stopper.

I større organisationer kan foranstaltningen Centraliseret rettighedsstyring evt. forhindre ophobning af opgaver og understøtte mere systematisk løsning af opgaven.

Hvornår er foranstaltningen nødvendig?

Det er en risikovurdering efter databeskyttelsesforordningens artikel 32, som skal vise, hvilke tiltag der er relevante. Hvis organisationen fx har få ansatte, eller hvis der sjældent sker ansættelser eller fratrædelser, kan skriftlige procedurer være tilstrækkeligt, og denne foranstaltning vil ikke bidrage væsentligt til sikkerheden.

Forordningens artikel 25: Ved udvikling eller erhvervelse af nye it-systemer eller udvikling/ændring i eksisterende it-systemer skal databeskyttelse være tænkt ind i design og standardindstillinger. Automatisk lukning af adgange forudsætter, at funktionaliteten er indbygget i de it-systemer, som styrer adgangen.

Vejledninger, der anvender denne foranstaltning